Cyberthreat.id – Pemerintah Rusia telah membuat Otoritas Sertifikat (Certificate Authorities/CA) TLS tepercaya untuk mengatasi masalah akses situsweb karena disanksi oleh negara-negara Barat.

Di portal layaan publik Rusia, Gosuslugi, disebutkan bahwa sertifikat lokal untuk penerbitan independen dan pembaruan sertifikat TLS.

“Ini akan menggantikan sertifikat keamanan asing jika dicabut atau kedaluwarsa. Kementerian Pengembangan Digital akan menyediakan analog domestik gratis,” tulis portal tersebut.

“Layanan ini diberikan kepada badan hukum, pemilik situsweb berdasarkan permintaan dalam waktu lima hari kerja.”

Sebelumnya, Rusia menerima sanksi dari memperbarui sertifikat TLS. Ini menyebabkan peramban web utama, seperti Google Chrome, Safari, Microsoft Edge, dan Mozilla Firefox akan menampilkan peringatan halaman web tidak aman.

Sertifikat TLS membantu tiap peramban web mengonfirmasi bahwa domain-domain milik entitas tersebut terverifikasi dan komunikasi antara pengguna dengan server dijamin keamanannya alias terenkripsi.

Jika sertifikat TLS dinilai tidak aman, dengan sendirinya situsweb tersebut akan ditinggalkan oleh pengguna.

Namun, agar Otoritas Sertifikat (CA) baru dapat dipercaya oleh browser web, situsweb pertama-tama perlu diperiksa oleh berbagai perusahaan yang dapat memakan waktu lama.

Saat ini, satu-satunya browser web yang mengakui CA baru Rusia sebagai dapat dipercaya adalah peramban Yandex dan Atom yang berbasis di Rusia, sehingga pengguna Rusia diberitahu untuk menggunakan ini alih-alih Chrome, Firefox, Edge, dll.

Situsweb yang telah menerima dan saat ini menggunakan sertifikat yang disediakan negara, seperti Sberbank, VTB, dan Bank Sentral Rusia.

Bagaimana dengan peramban lain?

Pengguna browser lain seperti Chrome atau Firefox dapat secara manual menambahkan sertifikat root Rusia baru untuk terus menggunakan situsweb Rusia yang menampilkan sertifikat yang dikeluarkan negara.

Namun, ini menimbulkan kekhawatiran bahwa Rusia dapat menyalahgunakan sertifikat root CA mereka untuk melakukan intersepsi lalu lintas HTTPS dan serangan man-in-the-middle (MiTM), tulis BleepingComputer, diakses Jumat (11 Maret 2022).

Penyalahgunaan ini pada akhirnya akan menyebabkan sertifikat root baru ditambahkan ke daftar pencabutan sertifikat (CRL). Ini akan membuat sertifikat domestik ini tidak valid. Akibatnya, Chrome, Edge, dan Firefox akan memblokir akses ke situsweb apa pun yang menggunakannya.

Otoritas sertifikat seharusnya dipercaya secara universal. Namun, karena Rusia saat ini tidak menerima tingkat kepercayaan apa pun, tidak mungkin bagi vendor peramban utama untuk menambahkannya ke toko sertifikat root mereka.[]